package cn.iocoder.yudao.framework.security.core.util;

import cn.hutool.core.map.MapUtil;
import cn.hutool.core.util.ObjUtil;
import cn.hutool.core.util.StrUtil;
import cn.iocoder.yudao.framework.common.enums.UserTypeEnum;
import cn.iocoder.yudao.framework.security.core.LoginUser;
import cn.iocoder.yudao.framework.common.util.servlet.ServletUtils;
import org.springframework.lang.Nullable;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.util.StringUtils;

import javax.servlet.http.HttpServletRequest;
import java.util.Collections;

/**
 * 安全服务工具类
 *
 * @author 芋道源码
 */
public class SecurityFrameworkUtils {

    /**
     * HEADER 认证头 value 的前缀
     */
    public static final String AUTHORIZATION_BEARER = "Bearer";

    /** 门户用户对象在Request中的存储Key（与PortalAuthServiceImpl保持一致） */
    private static final String PORTAL_LOGIN_USER_ATTR = "PORTAL_LOGIN_USER";
    /** 门户用户ID在Request中的存储Key（与PortalAuthServiceImpl保持一致） */
    private static final String PORTAL_LOGIN_USER_ID_ATTR = "PORTAL_LOGIN_USER_ID";

    private SecurityFrameworkUtils() {}

    /**
     * 从请求中，获得认证 Token
     *
     * @param request 请求
     * @param headerName 认证 Token 对应的 Header 名字
     * @param parameterName 认证 Token 对应的 Parameter 名字
     * @return 认证 Token
     */
    public static String obtainAuthorization(HttpServletRequest request,
                                             String headerName, String parameterName) {
        // 1. 获得 Token。优先级：Header > Parameter
        String token = request.getHeader(headerName);
        if (StrUtil.isEmpty(token)) {
            token = request.getParameter(parameterName);
        }
        if (!StringUtils.hasText(token)) {
            return null;
        }
        // 2. 去除 Token 中带的 Bearer
        int index = token.indexOf(AUTHORIZATION_BEARER + " ");
        return index >= 0 ? token.substring(index + 7).trim() : token;
    }

    /**
     * 获得当前认证信息
     *
     * @return 认证信息
     */
    public static Authentication getAuthentication() {
        SecurityContext context = SecurityContextHolder.getContext();
        if (context == null) {
            return null;
        }
        return context.getAuthentication();
    }

    /**
     * 获取当前用户（后台用户）
     *
     * @return 当前用户
     */
    @Nullable
    public static LoginUser getLoginUser() {
        Authentication authentication = getAuthentication();
        if (authentication == null) {
            return null;
        }
        return authentication.getPrincipal() instanceof LoginUser ? (LoginUser) authentication.getPrincipal() : null;
    }

    /**
     * 获得当前后台用户的编号，从上下文中
     *
     * @return 用户编号
     */
    @Nullable
    public static Long getLoginUserId() {
        LoginUser loginUser = getLoginUser();
        return loginUser != null ? loginUser.getId() : null;
    }

    /**
     * 获得当前后台用户的昵称，从上下文中
     *
     * @return 昵称
     */
    @Nullable
    public static String getLoginUserNickname() {
        LoginUser loginUser = getLoginUser();
        return loginUser != null ? MapUtil.getStr(loginUser.getInfo(), LoginUser.INFO_KEY_NICKNAME) : null;
    }

    /**
     * 获得当前后台用户的部门编号，从上下文中
     *
     * @return 部门编号
     */
    @Nullable
    public static Long getLoginUserDeptId() {
        LoginUser loginUser = getLoginUser();
        return loginUser != null ? MapUtil.getLong(loginUser.getInfo(), LoginUser.INFO_KEY_DEPT_ID) : null;
    }

    // ========== 新增：门户用户相关方法 ==========

    /**
     * 获取当前登录的门户用户对象
     *
     * @return 门户用户对象，未登录或非门户用户返回null
     */
    @Nullable
    public static LoginUser getPortalLoginUser() {
        HttpServletRequest request = ServletUtils.getRequest();
        if (request == null) {
            return null;
        }
        Object attr = request.getAttribute(PORTAL_LOGIN_USER_ATTR);
        if (!(attr instanceof LoginUser)) {
            return null;
        }
        LoginUser portalUser = (LoginUser) attr;
        // 二次校验用户类型，确保是门户用户
        if (UserTypeEnum.PORTAL_USER.getValue().equals(portalUser.getUserType())) {
            return portalUser;
        }
        return null;
    }

    /**
     * 获得当前登录的门户用户编号
     *
     * @return 门户用户编号，未登录或非门户用户返回null
     */
    @Nullable
    public static Long getPortalLoginUserId() {
        // 优先从Request的ID属性获取（性能更优）
        HttpServletRequest request = ServletUtils.getRequest();
        if (request != null) {
            Object idAttr = request.getAttribute(PORTAL_LOGIN_USER_ID_ATTR);
            if (idAttr instanceof Long) {
                return (Long) idAttr;
            }
        }
        // 兜底：从门户用户对象中获取
        LoginUser portalUser = getPortalLoginUser();
        return portalUser != null ? portalUser.getId() : null;
    }

    /**
     * 获得当前登录的门户用户昵称
     *
     * @return 门户用户昵称，未登录或非门户用户返回null
     */
    @Nullable
    public static String getPortalLoginUserNickname() {
        LoginUser portalUser = getPortalLoginUser();
        return portalUser != null ? MapUtil.getStr(portalUser.getInfo(), LoginUser.INFO_KEY_NICKNAME) : null;
    }

    /**
     * 获得当前登录的门户用户名
     *
     * @return 门户用户名，未登录或非门户用户返回null
     */
    @Nullable
    public static String getPortalLoginUsername() {
        LoginUser portalUser = getPortalLoginUser();
        return portalUser != null ? MapUtil.getStr(portalUser.getInfo(), "username") : null;
    }

    // ========== 原有方法保持不变 ==========

    /**
     * 设置当前用户（后台用户）
     *
     * @param loginUser 登录用户
     * @param request 请求
     */
    public static void setLoginUser(LoginUser loginUser, HttpServletRequest request) {
        // 创建 Authentication，并设置到上下文
        Authentication authentication = buildAuthentication(loginUser, request);
        SecurityContextHolder.getContext().setAuthentication(authentication);

        // 额外设置到 request 中，用于 ApiAccessLogFilter 可以获取到用户编号
        if (request != null) {
            // 注意：这里使用ServletUtils直接操作，避免依赖WebFrameworkUtils
            request.setAttribute("LOGIN_USER_ID", loginUser.getId());
            request.setAttribute("LOGIN_USER_TYPE", loginUser.getUserType());
        }
    }

    private static Authentication buildAuthentication(LoginUser loginUser, HttpServletRequest request) {
        // 创建 UsernamePasswordAuthenticationToken 对象
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                loginUser, null, Collections.emptyList());
        authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
        return authenticationToken;
    }

    /**
     * 是否条件跳过权限校验，包括数据权限、功能权限
     *
     * @return 是否跳过
     */
    public static boolean skipPermissionCheck() {
        LoginUser loginUser = getLoginUser();
        if (loginUser == null) {
            return false;
        }
        if (loginUser.getVisitTenantId() == null) {
            return false;
        }
        // 重点：跨租户访问时，无法进行权限校验
        return ObjUtil.notEqual(loginUser.getVisitTenantId(), loginUser.getTenantId());
    }

}
